Citrix Endpoint Management

系统要求

等待 Citrix 预配 Endpoint Management 时,请务必通过安装 Cloud Connector 来为您的 Endpoint Management 部署做好准备。虽然 Citrix 托管和交付您的 Endpoint Management 解决方案,但是仍需要某些通信和端口设置。该设置将 Endpoint Management 体系结构连接到企业服务,例如 Active Directory。

Cloud Connector 要求

Citrix 使用 Cloud Connector 将 Endpoint Management 体系结构集成到您的现有体系结构中。Cloud Connector 通过端口 443 将以下资源位置安全地集成到 Endpoint Management 中:LDAP、PKI 服务器、内部 DNS 查询以及 Citrix Workspace 枚举。

  • 至少两台加入到您的 Active Directory 域的专用 Windows Server 计算机。这些计算机可以是虚拟机,也可以是物理机。要在其中安装 Connector 的计算机必须与 UTC 时间同步,以实现正确的安装和操作。有关最新要求的完整列表,请参阅您的 Citrix 帐户团队提供的部署资料。

    入门向导引导您完成在这些计算机上安装 Cloud Connector 的过程。

  • 有关更多平台系统要求,请参阅 Citrix Cloud Connector

支持的 Active Directory 功能级别

Citrix Cloud Connector 支持 Active Directory 中的以下林和域功能级别,以便与 Endpoint Management 结合使用。

林功能级别 域功能级别 支持的域控制器
Windows Server 2008 R2 Windows Server 2008 R2 Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016
Windows Server 2008 R2 Windows Server 2012 Windows Server 2012、Windows Server 2012 R2、Windows Server 2016
Windows Server 2008 R2 Windows Server 2012 R2 Windows Server 2012 R2、Windows Server 2016
Windows Server 2008 R2 Windows Server 2016 Windows Server 2016
Windows Server 2012 Windows Server 2012 Windows Server 2012、Windows Server 2012 R2、Windows Server 2016
Windows Server 2012 Windows Server 2012 R2 Windows Server 2012 R2、Windows Server 2016
Windows Server 2012 Windows Server 2016 Windows Server 2016
Windows Server 2012 R2 Windows Server 2012 R2 Windows Server 2012 R2、Windows Server 2016
Windows Server 2012 R2 Windows Server 2016 Windows Server 2016
Windows Server 2016 Windows Server 2016 Windows Server 2016

Citrix Gateway 要求

Endpoint Management 要求针对以下场景在您的资源位置中安装 Citrix Gateway:

  • 您需要 Micro VPN 才能访问业务线应用的内部网络资源。这些应用程序通过 Citrix MDX 技术封装。Micro VPN 需要 Citrix Gateway 连接到内部后端基础结构。
  • 您计划使用 Citrix 移动生产力应用程序,例如 Citrix Secure Mail。
  • 您计划将 Endpoint Management 与 Microsoft Intune/EMS 相集成。

要求:

  • 域 (LDAP) 身份验证
  • Citrix Gateway 10.5 Build 66.9 或更高版本,具有平台/通用许可证

有关详细信息,请参阅许可

  • 公用 SSL 证书。

有关详细信息,请参阅在 Citrix ADC 设备上创建和使用 SSL 证书

有关 NetScaler 要求的信息,请参阅您的 Citrix 帐户团队提供的部署资料。

有关 Android Enterprise 要求的信息,请参阅 Android Enterprise部分。

Citrix Files 要求

Citrix Files 文件同步和共享服务在 Endpoint Management Premium 服务方案中可用。存储区域控制器通过向 Citrix Files 帐户提供专用数据存储来扩展 Citrix Files 软件即服务 (SaaS) 云存储。

存储区域控制器要求:

  • 专用物理机或虚拟机
  • Windows Server 2012 R2 或 Windows Server 2016
  • 2 个 vCPU
  • 4 GB RAM
  • 50 GB 硬盘空间
  • Web 服务器 (IIS) 的服务器角色:

    • 应用程序开发:ASP. NET 4.5.2
    • 安全性:基本身份验证
    • 安全性:Windows 身份验证

Citrix Files 平台要求:

  • Citrix Files 安装程序要求在 Windows Server 上具有管理权限
  • Citrix Files 管理员用户名

端口要求

要使设备和应用程序能够与 Endpoint Management 通信,应在防火墙中打开特定端口。下图显示了 Endpoint Management 的流量图。

Endpoint Management 流量

以下部分列出了必须打开的端口。有关移动生产力应用程序使用的 URL 的信息,请参阅功能标志管理

Citrix Gateway 端口要求

打开端口以允许用户通过 Citrix Gateway 从 Citrix Secure Hub 和 Citrix Workspace 连接到:

  • Endpoint Management
  • StoreFront
  • 其他内部网络资源,例如 Intranet Web 站点

有关 Citrix Gateway 的详细信息,请参阅 Citrix Gateway 文档中的Endpoint Management 环境的配置设置。有关 NetScaler 拥有的 IP 地址的信息,请参阅 NetScaler 文档中的 NetScaler 设备如何与客户端和服务器进行通信。该部分内容包括有关 NetScaler IP (NSIP) 虚拟服务器 IP (VIP) 和子网 IP (SNIP) 地址的信息。

TCP 端口 说明 目标
53(TCP 和 UDP) 用于 DNS 连接。 Citrix Gateway SNIP DNS 服务器
80/443 Citrix Gateway 通过第二个防火墙将 Micro VPN 连接传递到内部网络资源。 Citrix Gateway SNIP Intranet Web 站点
123(TCP 和 UDP) 用于网络时间协议 (NTP) 服务。 Citrix Gateway SNIP NTP 服务器
389 用于非安全 LDAP 连接。 Citrix Gateway NSIP(或者 SNIP,如果使用负载平衡器) LDAP 身份验证服务器或 Microsoft Active Directory
443 用于从 Citrix Workspace 到 Citrix Virtual Apps and Desktops 与 StoreFront 的连接。 Internet Citrix Gateway
443 用于连接到 Endpoint Management 以实现 Web、移动和 SaaS 应用程序交付。 Internet Citrix Gateway
443 用于 Cloud Connector 通信 – LDAP、DNS、PKI 和 Citrix Workspace 枚举 Cloud Connector 服务器 https://*.citrixworkspacesapi.net, https://*.cloud.com (commercial), https://*.cloud.us (government), https://*.blob.core.windows.net/, https://*.servicebus.windows.net
443 用于通过浏览器访问 Endpoint Management 自助服务门户(如果已启用)。 访问点(浏览器) Endpoint Management (https://<sitename>/zdm/shp)
636 用于安全 LDAP 连接。 Citrix Gateway NSIP(或者 SNIP,如果使用负载平衡器) LDAP 身份验证服务器或 Active Directory
1494 用于与内部网络中基于 Windows 应用程序的 ICA 连接。Citrix 建议保持此端口处于打开状态。 Citrix Gateway SNIP Citrix Virtual Apps and Desktops
1812 用于 RADIUS 连接。 Citrix Gateway NSIP RADIUS 身份验证服务器
2598 用于使用会话可靠性连接到内部网络中基于 Windows 的应用程序。Citrix 建议保持此端口处于打开状态。 Citrix Gateway SNIP Citrix Virtual Apps and Desktops
3269 用于 Microsoft Global Catalog 安全 LDAP 连接。 Citrix Gateway NSIP(或者 SNIP,如果使用负载平衡器) LDAP 身份验证服务器或 Active Directory
4443 用于管理员通过浏览器访问 Endpoint Management 控制台。 访问点(浏览器) Endpoint Management
8443 用于注册、应用商店和移动应用程序管理 (MAM)。 Citrix Gateway SNIP Endpoint Management
8443 用于 Secure Mail 身份验证令牌的 Secure Ticket Authority (STA) 端口 Citrix Gateway SNIP Endpoint Management

网络和防火墙要求

要使设备和应用程序能够与 Endpoint Management 通信,应在防火墙中打开特定端口。下表列出了这些端口。

打开从内部网络到 Citrix Cloud 的端口:

TCP 端口 源 IP 说明 目标 目标 IP
443   Cloud Connector https://*.citrixworkspacesapi.net, https://*.cloud.com (commercial), https://*.cloud.us (government), https://*.sharefile.com, https://cwsproduction.blob.core.wind ows.net/downloads, https://*.servicebus.windows.net  
443   管理控制台 https://*.citrixworkspacesapi.net, https://*.cloud.com (commercial), https://*.cloud.us (government), https://*.citrix.com, https://cwsproduction.blob.core.windows.net/downloads  
443   Endpoint Management 自助服务门户通过浏览器访问(如果启用了该门户) Endpoint Management  
4443   通过浏览器访问 Endpoint Management 控制台 Endpoint Management  

打开从 Internet 到 DMZ 的端口:

TCP 端口 说明 源 IP 目标 目标 IP
443 Endpoint Management 客户端设备   Citrix Gateway IP  
443 Endpoint Management 客户端设备   NetScaler VIP Citrix Files  
443 Citrix Files 公用 IP CTX208318 NetScaler VIP Citrix Files  

打开从 DMZ 到内部网络的端口:

TCP 端口 说明 源 IP 目标 目标 IP
389 或 636 NetScaler NSIP   Active Directory IP  
53 (UDP) NetScaler NSIP   DNS 服务器 IP  
443 NetScaler SNIP   Exchange (EAS) Server IP  
443 NetScaler SNIP   内部 Web 应用程序/服务  
443 NetScaler SNIP   存储区域控制器 IP  

打开从内部网络到 DMZ 的端口:

TCP 端口 说明 源 IP 目标 目标 IP
443 管理客户端   NetScaler NSIP  

打开从内部网络到 Internet 的端口:

TCP 端口 说明 源 IP 目标 目标 IP
443 Exchange (EAS) Server IP   Endpoint Management 推送通知侦听器 (1)  
443 存储区域控制器 IP   Citrix Files 控制平面 CTX208318

(1) us-east-1.mailboxlistener.xm.citrix.com, eu-west-1.mailboxlistener.xm.citrix.com, ap-southeast-1.mailboxlistener.xm.citrix.com

打开从企业 Wi-Fi 到 Internet 的端口:

TCP 端口 说明 源 IP 目标 目标 IP
8443/443 Endpoint Management 客户端设备   Endpoint Management  
5223 Endpoint Management 客户端设备   Apple APNS 服务器 17.0.0.0/8
5228 Endpoint Management 客户端设备   Firebase Cloud Messaging android.apis.google.com, cm.googleapis.com
5229 Endpoint Management 客户端设备   Firebase Cloud Messaging android.apis.google.com, cm.googleapis.com
5230 Endpoint Management 客户端设备   Firebase Cloud Messaging android.apis.google.com, cm.googleapis.com
443 Endpoint Management 客户端设备   Firebase Cloud Messaging cm.googleapis.com
443 Endpoint Management 客户端设备   Windows 推送通知服务 *.notify.windows.com
443/80 Endpoint Management 客户端设备   Apple iTunes App Store ax.apps.apple.com, *.mzstatic.com, vpp.itunes.apple.com
443/80 Endpoint Management 客户端设备   Google Play play.google.com, android.clients.google.com, android.l.google.com, android.com, google-analytics.com
443/80 Endpoint Management 客户端设备   Microsoft 应用商店 login.live.com, *.notify.windows.com
443 Endpoint Management 客户端设备   适用于 iOS 和 Android 的 Endpoint Management 自动发现服务 ads.xm.cloud.com
443 Endpoint Management 客户端设备   适用于 Windows 的 Endpoint Management 自动发现服务 enterpriseenrollment.mycompany.com, autodisc .xm.cloud.com
443 存储区域控制器 IP   Citrix Files 控制平面 CTX208318
443 Endpoint Management 客户端设备   Google Mobile Management、Google API、Google Play 应用商店 API *.googleapis.com
443 Endpoint Management 客户端设备   v470 之前的 CloudDPC 版本的连接性检查。自 N MR1 起的 Android 连接检查要求 https://www.google.com/generate_204 可访问,或者要求指定的 Wi-Fi 网络指向可访问的 PAC 文件) connectivitycheck.android.com, www.google.com

自动发现服务连接的端口要求

此端口配置可确保从 Secure Hub for Android 连接的 Android 设备能够从内部网络访问 Endpoint Management 自动发现服务 (ADS)。下载通过 ADS 提供的任何安全更新时能够访问 ADS 非常重要。

注意:

ADS 连接可能不支持您的代理服务器。在这种情况下,允许 ADS 连接跳过代理服务器。

如果您希望启用证书固定,请完成以下必备条件:

  • 收集 Endpoint Management 服务器和 NetScaler 证书: 证书必须采用 PEM 格式,并且必须是公用证书,而非私钥。
  • 请联系 Citrix 支持部门并发出启用证书固定的请求: 在此过程中,系统会要求您提供证书。

证书固定功能要求设备先连接到 ADS,然后再注册。此要求可确保最新的安全信息对 Secure Hub 可用。为了 Secure Hub 注册设备,该设备必须访问 ADS。因此,在内部网络中打开 ADS 访问功能对启用设备注册非常重要。

要允许访问 Secure Hub for Android/iOS 的 ADS,请为以下 FQDN 和 IP 地址打开端口 443:

FQDN IP 地址 端口 IP 和端口用法
ads.xm.cloud.com 52.5.138.94 443 Secure Hub - ADS 通信
ads.xm.cloud.com 52.1.30.122 443 Secure Hub - ADS 通信
ads.xm.cloud.com 34.194.83.188 443 Secure Hub - ADS 通信
ads.xm.cloud.com 34.193.202.23 443 Secure Hub - ADS 通信

Android Enterprise 网络要求

本部分内容介绍了为 Android Enterprise 设置网络环境时要考虑的出站连接。

端口要求

如果控制台位于本地,则需要从网络访问以下目标主机。需要这些主机来创建托管 Google Play Enterprise 并访问 ​托管 Google Play iFrame。Google 已为开发人员提供了托管 Play iFrame,以简化应用程序的搜索和审批。

TCP 端口 说明 目标主机
443 Google Play 应用商店、Play Enterprise 注册 play.google.com
443 帐户身份验证 accounts.youtube.com, accounts.google.com
443 GCM 和其他 Google Web 服务 apis.google.com
443 iFrame UI 元素 ogs.google.com
443 桌面和移动通知 notifications.google.com
443 Google 字体用户生成的内容 fonts.googleapis.com, *.gstatic.com, *.googleusercontent.com
443 证书验证 cri.pki.goog, ocsp.pki.goog

系统要求